WatchGuard vient de publier les résultats d’un sondage mené entre mai et août 2025 auprès de 123 MSP et MSSP français sur la maturité des PME françaises en matière de cybersécurité. Ce sondage fait écho à un sondage sur le même sujet mené fin 2024 par Opinion Way pour le compte de Watchguard directement auprès des PME. Le résultat confirme largement les tendances mises en lumière l’an dernier : les PME demeurent exposées, souvent mal préparées, et enclines à réagir après coup plutôt qu’à anticiper.
Selon les MSP sondés, la moitié de leurs clients PME n’ont lancé un projet de cybersécurité qu’après avoir subi au préalable une attaque. Une réaction a posteriori préoccupante pour Pascal Le Digol, directeur France de WatchGuard (photo), qui considère – dans un communiqué présentant les résultats de ce sondage – que « faire la démarche de se protéger après avoir été victime, c’est prendre le risque d’investir trop et trop vite et trop cher sous le coup du stress, plutôt que de construire une stratégie pérenne ».
Autre enseignement de ce sondage : une PME sur quatre aurait déjà payé une rançon à la suite d’une attaque par rançongiciel. Un chiffre qui confirme que les PME attaquées sont beaucoup plus nombreuses qu’on ne le pense et que la plupart payent en évitant de l’ébruiter.
Les menaces les plus redoutées par les PME, telles que rapportées par leurs prestataires, restent les rançongiciels (87 %), les fuites de données (66 %) et la fraude au président (61 %). Plus surprenant, 11 % citent l’espionnage industriel, un chiffre jugé « assez élevé » par Pascal Le Digol compte tenu du manque de sensibilisation générale des PME à ce type de risque. Les freins à l’investissement demeurent les mêmes : manque de moyens financiers, manque de compréhension des enjeux et pénurie de compétences internes.
Dans l’ensemble, les MSP dressent le tableau d’un monde à deux vitesses avec d’un côté une petite majorité de PME plutôt mal ou très mal équipées (55 %) et de l’autre une grosse minorité (45 %) plutôt bien ou assez bien dotées. Un tableau conforme à celui qui qu’avait dressé l’enquête de 2024.
Sur le plan réglementaire, le constat est sévère : 80 % des MSP estiment que leurs clients ne sont pas conformes au RGPD, et 86 % qu’ils ignorent l’existence même de la directive NIS 2.
Le sondage s’intéresse aussi à l’évolution des MSP eux-mêmes. Seuls 25 % se définissent comme pure players de la cybersécurité. Pour la majorité, la cyber n’est qu’une composante de leur offre, représentant moins de 25 % du chiffre d’affaires pour 46 % d’entre eux.
Mais la tendance est à la montée en puissance : 40 % proposent déjà un service de SOC et 36 % un MDR éditeur. Une bonne nouvelle, pour Pascal Le Digol : « ces services apportent le côté humain qui manquait aux PME pour compléter leur sécurisation ». Sans surveillance et sans investigation, la technologie est imparfaite.